Air Miles zonder toestemming ingewisseld bij Shell: consumenten gedupeerd
Er zijn tienduizenden Air Miles ingewisseld bij Shell. Dat blijkt uit meldingen van consumenten die bij Radar zijn binnengekomen. Mensen hebben de punten niet zelf ingewisseld. Voor de tweede keer in dertien maanden tijd zijn er op grote schaal punten verzilverd bij een partner van Air Miles. Het puntenprogramma wijst wederom alle aansprakelijkheid van de hand.
Joop de Groot meldt op het Radarforum dat er bij hem op 9 oktober ineens 23.800 Air Miles waren afgeschreven. Voor het eerst om 19:55 uur en om 21:00 uur weer. Aangezien een Air Mile een halve cent waard is bij Shell is er dus voor 119 euro ingewisseld. Joop klaagt bij Air Miles en hoort dat hij in een scheiding zou liggen of dat hij slachtoffer van phishing is geworden.
Ook bij Dick Stam verdwenen 17.600 punten, goed voor zo'n 85 euro aan benzine. 'De punten zijn ingewisseld om 23:45 uur 's avonds. Ik heb nergens op geklikt en ik heb mijn pas ook niet uitgeleend.'
Bij Han Loos zijn er maar liefst 24.000 punten spoorloos op 24 oktober. Een dag later zijn nog eens 4600 punten ingeleverd bij de Shell. Han kreeg nul op het rekest bij Air Miles. 'Cybercriminelen zouden in het bezit gekomen kunnen zijn van mijn gegevens', krijgt hij te horen.
Enorme schadepost
Het gaat om tienduizenden punten per consument waar vaak jarenlang voor gespaard is. Extra zuur is het moment, want uit de meldingen die bij Radar binnenkwamen bleek het allemaal te gaan om meerdere data in oktober. Juist nu moeten consumenten voor 1 december veel van hun Air Miles inwisselen om te voorkomen dat ze verlopen.
Fraudezaak
Als Radar als consument belt met de klantenservice van het spaarprogramma zegt men dat je ten prooi gevallen bent aan internetcriminaliteit. Air Miles zegt niet te kunnen zien bij welke pomp de punten zijn ingewisseld, maar wel hoe laat en op welke dag. Wie wil weten waar de punten zijn ingewisseld moet contact opnemen met Shell. Shell verwijst op haar beurt weer naar Air Miles. Shell zegt, als Radar belt als consument, dat het gaat om een fraudezaak en dat er inmiddels zo'n vijftig gevallen bekend zijn. Hackers zouden volgens de klantenservice het systeem aangevallen kunnen hebben en zo de punten hebben afgenomen.
In een reactie hierop laat Air Miles aan Radar weten wel degelijk te kunnen zien waar de punten zijn ingewisseld. Waarom consumenten deze informatie niet krijgen is niet bekend.
Hoe heeft het kunnen gebeuren?
Volgens Air Miles komt de diefstal door fraude door iemand in de omgeving van de kaarthouder die in het bezit is van inloggegevens. Een andere optie is dat men op een phishingmail heeft geklikt of dat cybercriminelen in het bezit zijn gekomen van inloggegevens via andere bedrijven die gehackt zijn. Air Miles zegt dat zij bij dit soort fraude niet compenseren. Consumenten die zich bij Radar hebben gemeld zeggen nergens op geklikt te hebben en hun inloggegevens niet met anderen gedeeld te hebben.
Fraudehelpdesk: Geen phishingmails Air Miles in omloop
Radar heeft aan de Fraudehelpdesk gevraagd of er phishingmails in omloop zijn van Air Miles. De instelling krijgt maandelijks tienduizenden meldingen van consumenten over frauduleuze mails, maar zegt de afgelopen anderhalf jaar geen phishing gezien te hebben over Air Miles.
'Air Miles is verantwoordelijk'
Jurist en technologie-deskundige Danny Mekic zegt dat Air Miles moet uitzoeken en bewijzen hoe deze punten hebben kunnen verdwijnen als de consument daar zelf geen toestemming voor heeft gegeven. 'Air Miles is verantwoordelijk voor de werking en de veiligheid van het programma. Ik vind dat Air Miles alle beschikbare informatie moet delen. Aangezien het om persoonsgegevens gaat kan je ook een beroep doen op de AVG.'
Mekic vervolgt: 'Hoewel Air Miles geen bank is, is het niet uit te sluiten dat een rechter tot de conclusie komt dat Air Miles in specifieke gevallen nalatig is geweest en een wanprestatie of onrechtmatige daad heeft gepleegd'.
Namaken pasje blijkt kinderlijk eenvoudig
Via de website kunnen pashouders hun saldo checken. Wie dat via de app doet krijgt echter ook een streepjescode. Die kan gescand worden als je Air Miles wil inwisselen bij een partner zoals Shell. Shell blijkt, volgens de klantenservice, niet altijd te vragen om verificatie zoals een postcode en huisnummer. Ook kan je in de app inzage krijgen in saldoinformatie van kaarten die reeds verlopen zijn. Radar heeft dit aangekaart bij Air Miles, maar het bedrijf zegt hiervan niet op de hoogte te zijn.
Wat moet je doen?
Mekic raadt mensen aan aangifte te doen. 'De politie kan alle relevante gegevens opvragen bij Air Miles. Er kunnen camerabeelden worden opgevraagd om zo te achterhalen wie zich als jou heeft voorgedaan.' Ook is Mekic van mening dat als er diefstal van Air Miles voorkomt, het spaarprogramma meer moet doen om diefstal tegen te gaan, bijvoorbeeld door iemands identiteit te controleren met een legitimatiebewijs.'
Reactie Shell/Airmiles
Shell vindt het vervelend dat er Air Miles onterecht zijn ingewisseld aangezien deze een financiële waarde vertegenwoordigen. Air Miles wil niet reageren in de uitzending, maar laat schriftelijk weten dat er met de juiste gebruikersnaam en wachtwoord Air Miles zijn ingewisseld. 'Er is vooralsnog uit niets gebleken dat Air Miles zou zijn gehackt. Omdat mensen echter (te) vaak op verschillende sites hetzelfde userID (gebruikersnaam red.) en password (wachtwoord red.) gebruiken is het mogelijk dat de hack elders heeft plaatsgevonden.' Air Miles gaat niets doen voor consumenten waarvan onterecht punten zijn ingewisseld en raadt aan om aangifte te doen.
Vorig jaar besteedde Radar ook al aandacht aan onterecht ingewisselde punten, destijds bij bol.com. Die webwinkel is nu gestopt met het accepteren van Air Miles. Je kan daar dus geen Air Miles meer inleveren.
Lees het artikel over onterecht ingewisseld punten bij bol.com